CTF实战22 病毒感染技术

在介绍什么是病毒之前,我们先说一下什么是恶意代码

恶意代码

恶意代码又称恶意软件,这些软件也分为

  • 广告软件(Adware)
  • 间谍软件(Spyware)
  • 恶意共享软件(Malicious shareware)

是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件

与病毒或蠕虫不同,这些软件很多不是小团体或者个人秘密地编写和散播,反而有很多知名企业和团体涉嫌此类软件(比如某0和某度的全家桶)

有时也称作流氓软件

当然,我们这里讨论的恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码

最常见的恶意代码有

  • 计算机病毒
  • 特洛伊木马
  • 计算机蠕虫
  • 后门
  • 逻辑炸弹

恶意代码的分类

安装代码的独立性和可复制性,我们可以将恶意代码分成以下两种

1. 独立恶意代码

这类的恶意代码是一个完整的系统,就像一个带了全套装备的特种兵

这类恶意代码大概有这么几种:

  • 计算机蠕虫(Computer worm)
  • 僵尸病毒(Zombie virus)

蠕虫

其中,蠕虫与病毒相似,是一种能够自我复制的计算机程序

与计算机病毒不同的是,计算机蠕虫不需要附在别的程序内,可能不用使用者介入操作也能自我复制或执行

计算机蠕虫未必会直接破坏被感染的系统,却几乎都对网络有害

计算机蠕虫可能会执行垃圾代码以发动分散式阻断服务攻击

令计算机的执行效率极大程度降低,从而影响计算机的正常使用

可能会损毁或修改目标计算机的档案

亦可能只是浪费带宽

(恶意的)计算机蠕虫可根据其目的分成2类:

  • 一种是面对大规模计算机使用网络发动拒绝服务的计算机蠕虫,虽说会绑架计算机,但使用者可能还可以正常使用,只是会被占用一部分运算、连网能力
  • 另一种是针对个人用户的以执行大量垃圾代码的计算机蠕虫。计算机蠕虫多不具有跨平台性,但是在其他平台下,可能会出现其平台特有的非跨平台性的平台版本

第一个被广泛注意的计算机蠕虫名为:莫里斯蠕虫,由罗伯特·泰潘·莫里斯编写,于1988年11月2日释出第一个版本

这个计算机蠕虫间接和直接地造成了近1亿美元的损失。这个计算机蠕虫释出之后,引起了各界对计算机蠕虫的广泛关注

僵尸病毒

僵尸病毒基本是用网络连接起来的一个集群,所以也叫僵尸网络病毒,其通信技术是通过连接IRC服务器进行,从而控制被攻陷的计算机

僵尸网络(BotNet),是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等

同时黑客控制的这些计算机所保存的信息也都可被黑客随意取用

因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患

僵尸网络的威胁也因此成为目前一个国际上十分关注的问题

然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的僵尸主机(Zombie computer),这些主机的用户往往并不知情

因此,僵尸网络是目前互联网上黑客最青睐的作案工具

较为著名的僵尸网路攻击有2003年针对SPEWS服务的攻击,和2006年对蓝蛙(Blue Frog)服务的攻击

2000年,一些著名的网站(雅虎、易趣等等)受到加拿大的一个青少年MafiaBoy使用分布式拒绝服务攻击而停摆

另一起针对grc.com的攻击案例,根据Gibson Research网站鉴定,该攻击做案者大概是一位来自美国威斯康辛州基诺沙的13岁少年

Gibson Research网站的史蒂夫·吉布森拆解出一个用来僵尸化电脑的机器人,随后追踪到其散播者

在吉布森的书面研究纪录里,他描述了机器人控制的IRC如何运作此僵尸网路

2. 具有自我复制能力的恶意代码

除了上面的那两种,还有一种,病毒:

  • 计算机蠕虫(Computer worm)
  • 僵尸病毒(Zombie virus)
  • 病毒(Viru)

当然,不包含在这两类里面的恶意代码的还有:

  • 陷进门
  • 逻辑炸弹
  • 特洛伊木马

这些里面的特洛伊木马,我们会在下节介绍

那么现在问题来了,病毒是什么?

什么是病毒

电脑病毒(computer virus),或称电子计算机病毒

是一种在人为或非人为的情况下产生的、在用户不知情或未批准下,能自我复制或运行的电脑程序

电脑病毒往往会影响受感染电脑的正常运作,或是被控制而不自知,也有电脑正常运作仅盗窃数据等用户非自发启动的行为

为了方便传播一般文件比较小

一般文件被感染后都会在文件中加入标记位避免重复感染

病毒与木马的区别和相同点

病毒是一种传播技术,而木马是目的实现

病毒和木马并不冲突,可以相互融合。

木马中携带的是病毒的payload。

所以近年的病毒全部包含木马功能。

但是臃肿的木马会影响了病毒的灵活性

病毒的分类

病毒可以大概分为以下几种类型的

1. 引导型病毒

这个类型的病毒是从系统的启动扇区(Boot)或者硬盘的系统引导扇区(MBR)来加载自己

引导型病毒主要存在于主引导区、引导区

病毒利用操作系统的引导模块会存放在某个固定的位置上, 并且控制权的转交方式是以物理位置为依据,而不是以操作系统引导区的内容为依据

从而病毒通过占据该物理位置,便可获得了计算机的控制权

引导区而将真正的引导区内容搬家转移,待病毒程序执行后,将控制权交给真正的引导区内容

使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作

引导型病毒进入系统,一定要通过启动过程

在无病毒环境下使用的软盘或硬盘,即使它已感染引导区病毒,也不会进入系统并进行传染

2. 文件病毒

文件病毒主要感染计算机中的文件,列如:COM,EXE,DOC等文件

其中

DOS病毒是一般只能在DOS环境下运行(引导型病毒不局限于DOS操作系统而存在,早期的某些单纯占用引导记录来作为病毒体的病毒,至今仍可破坏计算机硬盘引导记录)传染的计算机病毒

DOS病毒是最早出现的计算机病毒

感染主引导扇区和引导扇区的DOS病毒称为引导型病毒

3. 网络病毒

通过计算机网络传播感染网络中的可执行文件,如今大都数的病毒都是这个类型

病毒可能感染的位置

  • Boot扇区
  • DOS COM/EXE
  • NE
  • PE/PE64
  • ARM
  • MIPS
  • ELF

等等

病毒可能的编写语言

  • Office(WORD、Excel、PPT…)
  • AutoCAD
  • Shell
  • Bat
  • C & C++
  • Python
  • Perl
  • 汇编

等等

病毒感染的特性

一开始病毒进入计算机的时候要先获得自身程序的运行权,并且在运行的时候获得优先运行权,包括找寻可执行文件入口点和自动运行宏两种

之后,病毒就会开始隐秘其运行权,不然电脑的使用者察觉,之后病毒会进行一些系统层次的代码和函数替换

最后溢出获得系统的较高权限

病毒的一个原则就是不能影响宿主运行,且在病毒运行后要将执行权交回宿主

为什么呢?

电脑都蓝屏了,一般人不是直接开始重装系统,然后病毒白感染了

具体的病毒分析就不列举了,感兴趣的同学可以看看《恶意代码分析实战》

原文发布于微信公众号 - 玄魂工作室(xuanhun521)

原文发表时间:2018-08-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(188)-FI-160现金管理

image.png FI160现金管理 现金状态概览提供有关银行帐户当前财务状态的信息。这是现金集中的起点,其中将不同银行帐户的余额集中到一个目标帐户,考虑最小...

3495
来自专栏汇智网教程

原 EOS主网上线,背后公司Block.

1523
来自专栏企鹅号快讯

2017年年度最烂密码排名

据英国《每日邮报》12月20日报道,从雅虎发生数百万用户数据泄露到近期WannaCry和BadRabbit勒索软件攻击用户电脑,2017年已发生了多起重大网络安...

2269
来自专栏FreeBuf

新年伊始,微软再遭叙利亚电子军挑衅

在2014年初,微软再遭叙利亚电子军(Syrian Electronic Army,简称SEA)袭击,其Twitter账户@MSFTNews被黑客劫持,并发布S...

1888
来自专栏黑白安全

A站(acfun)与摩拜单车(mobike)疑似遭黑客入侵

根据聊天截图,可以知道,A站与摩拜均被getshell,就在几小时前,A站已发文宣称确定被黑,数据库泄露。AcFun弹幕视频网(A站)在其官网发布《关于AcFu...

874
来自专栏安恒信息

继震网病毒Stuxnet之后,Duqu现身

Stuxnet蠕虫病毒(震网,又名超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC...

2974
来自专栏西枫里博客

关于ICP备案你所不了解的那些事

原打算这篇文章是写成正常的网站备案指导步骤的,在写的过程中,我发现其实各大IDC厂商的的帮助信息都已经非常明确具体了,甚至细分到每个省区有不同的细则都标识的很清...

5663
来自专栏云鼎实验室的专栏

比特币勒索病毒肆虐,腾讯云安全专家给你支招

5月12日晚, WannaCry 蠕虫病毒在全球大肆爆发。据BBC、CNN等媒体报道,恶意攻击者利用 NSA(美国国家安全局)泄露的 Windows 0day ...

6179
来自专栏北京马哥教育

Linux恶意软件简史

? ——那些年困扰Linux的蠕虫、病毒和木马 虽然针对Linux的恶意软件并不像针对Windows乃至OS X那样普遍,但是近些年来,Linux面临的安全威...

4667
来自专栏FreeBuf

网络悍匪劫持巴西网银长达5小时,数百万用户中招

传统的网上银行劫持和现实中的银行抢劫并没有多大的区别。匪徒闯进银行,抢走财物,再离开银行。但是,就是有这样一个黑客组织不走寻常路,他们劫持了一家巴西银行的DNS...

19710

扫码关注云+社区

领取腾讯云代金券